ISO/IEC27001認証を取得しました

先週のブログで、弊社田中が内部監査の話を書いていましたが、2016年3月28日付けでISO/IEC27001(ISMS)認証の認定を頂きました。


ISO/IEC27001認証とは

ISO/IEC27001認証とは、情報セキュリティに関するマネジメントシステムに対する国際認証です
…と言ってもマネジメントシステムというものについて簡単に説明するのはとても難しいのですが、おおよその内容を列記すると、
情報セキュリティマネジメントシステム(ISMS)とは、組織(会社とか事業所とか)が

ということを組織で行う仕組みのことを言います。
組織で行うものなので、担当者や責任者が頑張れば良いとか言うものではなく、経営者が先頭に立ち、社員ら組織全体で取り組まなければいけません。

ISO/IEC27001認証は、この組織のISMSを規格基準(ISO/IEC27001:2003)と照らし合わせ、適合しているかを外部の審査機関に評価してもらう第三者認証という仕組みで認定していただく取り組みです。
良く言われることなのですが、この認証は情報セキュリティ対策の強度を認証するものではなく、取り組みを認証するものと考えてもらえば良いと思います。

セキュリティの取り組み

時は2年近く前にさかのぼりますが、社内の情報の管理やシステム管理操作など情報セキュリティの社内規則を定め、会社としてセキュリティ対策に取り組むことにしました。
取り組む手順の参考としていくつか選択肢があったのですが、弊社ではISMS国際認証の基準となるISO/IEC27001に則り取り組むことにしました。

ただし弊社は小さな組織ですし、この時点では認証取得に取り組むつもりは無く、社内の規程としての位置づけで取り組むことにしていました。
しかしながら、その後社会を賑わす様な事件・事故など相次ぎ、社会全体で情報セキュリティへの意識も変わってきました。
弊社提供サービスに対する情報セキュリティ関係のお問い合わせも増え、昨年5月半ばに改めて弊社も第三者認証取得に取り組むことにしました。

弊社の取り組み

実はあまり積極的に営業をしていないのですが、私は情報セキュリティの取り組むに対する支援活動を業務として行っています。

情報セキュリティ支援サービス

また以前所属していた会社で同じISO/IEC27001認証取得や運用に関する取り組みを行っていたこと、また数回他社様のISMS認証取得に関してのお手伝いをしたこともあり、今回の取り組みではコンサルを採用せず、社内ですべて取り組むことにしました。

既にISO/IEC27001を参考にした取り組みは進めていましたので、見直し程度で進めて行くことが出来ると考えていましたが、社内の規程としての位置づけのものでしたので、改めて見直すと第三者に評価してもらうものとしては不十分でした。
このあたりは前回の田中のブログでも同じようなことが書かれていますが、企業の健全性の維持には「外部」と「内部」からのそれぞれの目で評価をすることが大切なのですが、特に社内のものを外部の方に見てもらい評価されるというのはとても大変なことです。
しかしながらそれを行うために実施する活動は大きな効果を生み出すのではないかと感じています。

自分達の特色を活かす

というわけで、既存の社内の取り組みを 全般的に見直す というよりは 作り直す つもりで進めることにしました。
取り組みとして、すでにやってきたことを繰り返しているのですが、より自分たちらしく取り組みたいとの思いもあったため、どうやって自分たちらしいPDCAが行えるかを考えながら進めました。

たとえば、私は役員で経営側の立場として企業トップと対話や相談がしやすい位置にあります。
小さな組織体のメリットを活かし、セキュリティに関するトップとの打ち合わせを毎月定期的に行うようにしています。
これは社内の取り組みとしては特別なことではなく、ほぼ毎日経営やセキュリティも含む業務に関わる相談を行っている一環として、必ず月に1回はセキュリティに特化した定例の打ち合わせを行い、確実に記録として残していくという決め事にしただけのものです。

また、以前のブログでも書きましたが、情報セキュリティに関する規程の改訂や承認の仕組みを普段使用しているツールを活用することでシステム化され、かつ使いやすい文書管理を行っています。


文章の改版関する申請と承認の記録

社内ポータルで公開されているISMS関連文書

こういった、弊社らしい取り組みを考え行うことで社内へマネジメントシステムを浸透させてきました。

最後に

今月半ばに第2段階審査を終え、そして晴れて認証登録証をいただくことができましたが、何より大事なのは継続です。
今回の認定は一つの節目としてとらえ、今後もよりよい活動につながるように進めて行きたいと考えています。

ファーエンドテクノロジーからのお知らせ(2024/03/27更新)
2024年4月14日 オライリー本の全冊公開日のお知らせ(もくもく勉強会も同時開催)
ファーエンドテクノロジーが所蔵するオライリー本(全冊)公開日のご案内です。公開日には「もくもく勉強会」も同時開催します。
My Redmine スタンダードプランおよびAdminサポートデスクプランの料金改定のお知らせ【2024年4月ご利用分より】
2024年4月ご利用分より、My Redmine スタンダードプラン(民間企業・個人向け及び官公庁向け)とAdminサポートデスクプランの料金を改定いたします。
My Subversion 一部のプラン・料金改定のお知らせ【2024年4月ご利用分より】
2024年4月ご利用分より、My Redmine スタンダードプラン(民間企業・個人向け及び官公庁向け)とAdminサポートデスクプランの料金を改定いたします。
My Subversion ストレージ容量増量のお知らせ(一部プランを除く)
My Subversionではミディアムプラン以上の各プランのストレージ容量を増量します。
Redmineの最新情報をメールでお知らせする「Redmine News」配信中
新バージョンやセキュリティ修正のリリース情報、そのほか最新情報を迅速にお届け